Il progetto pilota bug bounty nell’Amministrazione federale si è concluso con successo

Berna, 01.07.2021 - Dal 10 al 21 maggio 2021 il Centro nazionale per la cibersicurezza (NCSC) ha realizzato il progetto pilota bug bounty in collaborazione con la società Bug Bounty Switzerland Sagl (BBS), il Dipartimento federale degli affari esteri (DFAE) e i Servizi del Parlamento. Il progetto ha portato ottimi risultati e le conoscenze acquisite serviranno a eseguire ulteriori programmi di questo genere nell’Amministrazione federale.

Lo scopo dei programmi bug bounty è collaborare con hacker etici per individuare, documentare ed eliminare eventuali vulnerabilità nei sistemi informatici e nelle applicazioni. Al progetto pilota hanno partecipato in totale 15 hacker etici incaricati dalla Confederazione.

Scoperte dieci falle di sicurezza

Per l’esecuzione del progetto pilota gli hacker etici hanno cercato falle di sicurezza in sei sistemi del DFAE e dei Servizi del Parlamento. Nel complesso sono state segnalate all’NCSC dieci falle di sicurezza, di cui una classificata di livello «critico», sette di livello «medio» e due di livello «basso». Tutte le vulnerabilità sono state immediatamente eliminate dai fornitori di prestazioni responsabili. Gli hacker etici hanno successivamente verificato e confermato la corretta rimozione delle vulnerabilità.

Bilancio positivo

Il progetto pilota ha mostrato che i programmi bug bounty permettono di individuare ed eliminare in modo efficiente le vulnerabilità nei sistemi informatici e nelle applicazioni. Secondo le valutazioni effettuate il ritorno sull’investimento («return on invest») è da considerarsi elevato. L’esecuzione di un programma bug bounty per l’Amministrazione federale da parte dell’NCSC contribuisce in modo significativo alla riduzione dei ciber-rischi della Confederazione.

Sulla base delle esperienze e delle conoscenze acquisite con il progetto pilota, l’NCSC prevede di eseguire programmi bug bounty in maniera continuativa e sul maggior numero possibile di sistemi dell’Amministrazione federale.

Pertanto occorre avviare al più presto il processo di appalto. Oltre a BBS, ora anche altre aziende in Svizzera offrono programmi bug bounty. Per garantire la dovuta neutralità nel processo di appalto, Florian Schütz, delegato federale alla cibersicurezza, esce dal comitato consultivo di BBS.


Indirizzo cui rivolgere domande

Communicazione NCSC
ncsc-media@gs-efd.admin.ch
Tel. 058 46 50 464



Pubblicato da

Dipartimento federale delle finanze
https://www.efd.admin.ch/efd/it/home.html

Segreteria generale DFF
http://www.efd.admin.ch

Dipartimento federale degli affari esteri
https://www.eda.admin.ch/eda/it/dfae.html

https://www.efd.admin.ch/content/efd/it/home/il-dff/nsb-news_list.msg-id-84304.html